Kebanyakan cendekiawan dan pembuat kebijakan mengatakan dunia maya menyukai pelanggaran hukum sementara sebagian kecil cendekiawan tidak setuju. Pernyataan mendalam tentang keseimbangan antara kejahatan dalam pertahanan dan pelanggaran di dunia maya menyesatkan karena keseimbangan yang benar hanya dapat dinilai sehubungan dengan keterampilan dan teknologi organisasi tertentu.
Terlalu sering kita berbicara tentang keseimbangan dalam pertimbangan biaya: kita cenderung mengevaluasi keseimbangan yang dapat dihasilkan oleh satu kasus atau yang lainnya (di mana "keseimbangan" berarti nilai dikurangi biaya operasi ofensif dan nilai minus biaya operasi defensif). Biaya operasi TI, sebagian besar, dihitung berdasarkan keterampilan organisasi yang diperlukan untuk secara efisien membuat dan mengelola teknologi informasi yang kompleks.
Jika kita melihat skenario saat ini, keberhasilan suatu kegiatan ofensif berasal, terutama, dari manajemen defensif yang buruk dan dari tujuan yang relatif lebih sederhana yang dimiliki oleh kegiatan ofensif. Bahkan, kita berbicara tentang "asimetri" dari fenomena dunia maya karena perbedaan luar biasa yang ada antara penyerang dan pembela. Jelas ini tidak selalu terjadi.
Misalnya, analisis empiris menunjukkan bahwa serangan cyber didasarkan pada Stuxnet Struktur nuklir Iran, kemungkinan besar, biaya penyerang jauh lebih banyak daripada pertahanan. Namun, manfaat yang dirasakan oleh penyerang dan, di sisi lain, kerusakan yang dirasakan oleh bek, mungkin dua urutan besarnya lebih tinggi dari biaya yang sebenarnya dikeluarkan, yang membuat tidak mungkin bahwa pembuat keputusan akan berkonsentrasi pada biaya.
Namun, dalam artikel ini, saya tidak ingin berkonsentrasi pada biaya yang saya gunakan sebagai topi pengantar, hanya untuk mencoba membuat topik lebih "menarik" dan, mungkin, lebih terjangkau untuk semua orang.
Yang ingin saya fokuskan adalah fakta mencoba bernalar sesuai dengan skema berbeda di mana pertahanan dunia maya dapat digunakan secara cerdas untuk mengaitkan nilai yang tepat dengan objek paling berharga dari setiap organisasi, setelah orang-orang: data dan informasi.
Dalam beberapa tahun terakhir, teknologi pertahanan dunia maya telah berkembang pesat untuk membantu perusahaan melindungi jaringan mereka, membatasi akses dan mencegah kehilangan data. Dan pasar telah menyaksikan peningkatan penting dari sudut pandang ini.
Bagaimana jika kita mencoba untuk berpikir secara berbeda sekarang? Bagaimana jika kita mulai memanfaatkan semua prinsip yang digunakan dalam strategi keamanan data defensif kita untuk mengambil pendekatan yang lebih proaktif? Pada dasarnya, apa yang akan terjadi jika kita mulai berpikir seperti yang dipikirkan para peretas, tidak hanya untuk melawan mereka tetapi juga untuk mengaitkan nilai yang tepat "dengan aset yang akan dilindungi"?
Yang saya maksud adalah bahwa data dan informasi memiliki nilai yang, jika dibuktikan melalui alat dan kebijakan manajemen informasi dan pengetahuan, dapat membantu teknisi untuk mempertahankan "aset" yang berbeda dengan nilai yang berbeda dan dapat membantu CIO dan CISO untuk mintalah sumber daya yang diperlukan sebanding dengan "nilai" yang akan dilindungi.
Beberapa alat dan teknologi keamanan data dapat secara efektif memberikan visibilitas yang lebih baik ke dalam aktivitas sehari-hari dan dapat membantu kami menemukan nilai sebenarnya dari semua data yang kami lindungi. Bahkan, mengadopsi pendekatan jenis ini pada akhirnya dapat mengarahkan perusahaan menuju kesadaran yang lebih besar terhadap data yang mereka miliki dan, mengapa tidak, juga untuk efisiensi yang lebih besar, ide-ide baru dan pertumbuhan.
Pembelajaran Mesin dan Kecerdasan Buatan
Organisasi telah mulai mengadopsi solusi pembelajaran mesin dan kecerdasan buatan (AI) dalam analisis data dan manajemen data untuk beberapa waktu sekarang. Mengapa tidak menerapkan teknologi ini dalam pendekatan kami terhadap keamanan data untuk mendapatkan nilai bisnis yang serupa?
Banyak alat perlindungan data, yang digunakan secara defensif, memungkinkan Anda mengidentifikasi dan membuat katalog informasi dalam sistem jaringan untuk lebih memahami berbagai tingkat sensitivitas data tersebut. Pembelajaran mesin dan metadata yang diterapkan selama proses ini memungkinkan Anda untuk membawa pemahaman ini ke tingkat yang lebih dalam dengan membuat konteks seputar data yang memungkinkan organisasi menetapkan kebijakan keamanan yang lebih disesuaikan untuk mengelola informasi.
Praktik manajemen informasi ini umumnya masih termasuk dalam ranah pertahanan dunia maya - mereka bereaksi untuk melindungi data dari kejahatan dunia maya. Namun, teknologi perlindungan data yang menggunakan metadata memungkinkan Anda memberi tag data dengan berbagai detail dan menetapkan kategori untuk mengekstrak nilai sebenarnya. Mengetahui konteks yang lebih dalam di sekitar data memungkinkan penggunaan strategi dan alat perlindungan data yang berbeda sehingga memungkinkan bisnis untuk melangkah lebih jauh dari biasanya.
Karena teknologi perlindungan data mengungkapkan konteks data yang lebih luas, konteks tersebut menawarkan cara baru kepada profesional keamanan data untuk berbicara dengan para pemimpin eksekutif organisasi. Singkatnya, mereka dapat menunjukkan betapa berharganya suatu data tertentu, serta menentukan data mana yang benar-benar penting (dan harus memiliki perlindungan yang lebih ketat) dan data mana yang cocok untuk konsumsi publik (dan tidak memerlukan perlindungan lanjutan).
Pengukuran, monetisasi, dan manajemen data
Berapa banyak bicara tentang data seperti "oli baru"?! Lagi pula, pernyataan ini telah menjadi slogan. Tetapi bagaimana kita dapat benar-benar mengukur nilai komoditas baru ini? Jika kita dapat mengklasifikasikan data menggunakan metadata dan mulai memahami konteks di sekitarnya, nilainya akan mulai muncul.
Ketika kami membuat dokumen, kami bisa mulai dengan mengajukan berbagai pertanyaan kepada diri sendiri:
- Apakah ini dokumen rahasia atau dapat diakses secara bebas?
- Apakah itu ditandai oleh seseorang di R&D?
- Apakah ini dokumen rahasia yang telah ditandai oleh seseorang di bidang keuangan?
- Apakah itu informasi keuangan yang bersifat patrimonial atau apakah itu hanya mewakili laporan arus kas?
- Berapa lama itu harus disimpan?
Dan seterusnya ...
Misalkan Anda dapat mengidentifikasi 10.000 dokumen yang berisi data R&D di sistem Anda. Jika Anda mengetahui konteks di sekitar dokumen tersebut, Anda dapat mulai memahami seberapa besar nilai masing-masing dokumen tersebut atau apa risiko finansial bagi perusahaan jika terjadi kehilangan atau pencurian.
Beberapa file dan dokumen berisi informasi pribadi atau informasi kesehatan pribadi (PHI). Risiko keuangan yang terkait dengan jenis data ini lebih banyak berkaitan dengan denda ketidakpatuhan, kemungkinan kewajiban moneter bagi pelanggan dan karyawan, serta biaya untuk mengatasi kerusakan yang melekat pada reputasi merek. Dokumen lain berisi data yang dapat merangsang inovasi dan pertumbuhan bisnis dan risiko keuangan dapat dihitung berdasarkan peluang pendapatan potensial.
Melalui tag metadata pada jenis file, email, dan dokumen lain, Anda bisa mendapatkan informasi lebih lanjut tentang pelanggan atau siklus penjualan. Misalnya, jika perusahaan memiliki kuartal yang baik, Anda dapat melihat ke belakang untuk mencari tahu berapa kali kata "kutipan" atau "RFP" telah muncul dalam email dan dokumen dalam tiga bulan terakhir dan mulai memprediksi hasil dari kuartal berikutnya.
Menurut penelitian Gartner, dalam 2022, 90% dari strategi perusahaan akan secara eksplisit menyebut informasi sebagai aset perusahaan yang penting. Namun saat ini, Gartner berkata, "... sebagian besar informasi dan pemimpin bisnis tidak memiliki informasi dan alat untuk memonetisasi informasi ... karena nilai informasi itu sendiri sebagian besar masih tidak dikenali, bahkan jika nilai aset tidak berwujud lainnya, seperti hak cipta, merek dagang, dan paten, diukur dan dilaporkan. "
Monetisasi informasi adalah bagian dari tren yang lebih luas ke arahInfonomika, istilah yang diciptakan oleh Gartner untuk menggambarkan disiplin atribusi kepentingan ekonomi terhadap informasi, meskipun ada batasan standar akuntansi saat ini. Juga menurut Gartner, Infonomics juga mengidentifikasi "Biaya nyata dan tidak berwujud dari mengelola, menyimpan, menganalisis dan melindungi data".
Perusahaan yang mengukur nilai datanya dapat melakukan investasi yang lebih cerdas dalam inisiatif terkait data. Dengan memonetisasi data, organisasi dapat menciptakan aliran pendapatan tambahan, memperkenalkan lini bisnis baru, mencapai efisiensi dalam praktik bisnis sehari-hari, dan banyak lagi.
Strategi perlindungan data yang secara proaktif mengekstrak nilai dari data yang dilindungi menempatkan TI pada posisi baru untuk berkonsultasi dengan pimpinan eksekutif. Parameter berubah secara drastis: alih-alih hanya mengatakan, "Kami memiliki banyak data sensitif, dan kami perlu melindunginya", Anda bisa pergi ke para pemimpin perusahaan dan berkata,"Hey! Kami memiliki sekitar satu miliar dolar data dan kami harus mengelolanya secara memadai, meningkatkannya dan melindunginya karena kami mungkin tidak melakukannya."
Kita tidak bisa melakukannya sendiri
Mengekstrak nilai bukanlah sesuatu yang dapat dilakukan manusia sendiri dengan tingkat akurasi yang tinggi, dan dalam hal keamanan data, akurasi adalah kuncinya, terlepas dari apakah Anda mengambil pendekatan defensif atau ofensif. Jika Anda ingin memberikan tingkat kedalaman di sekitar data Anda untuk melindunginya dengan benar atau untuk menentukan nilainya, Anda harus lebih spesifik.
Pelatihan dan kualifikasi ulang algoritma pembelajaran mesin untuk mengenali kategori data yang dipersonalisasi, keakuratan dan kedalaman konteks di sekitar informasi berkembang secara eksponensial. Seiring waktu, pengguna akan terbiasa menandai data dengan detail yang semakin spesifik untuk menjelaskan konteksnya; yang akan meningkatkan nilai di luar batas. Ini adalah contoh sempurna dari manusia dan teknologi yang bekerja secara cerdas bersama.
Perilaku manajemen informasi tidak hanya menjadi lebih spesifik bagi perusahaan, melindungi data pada tingkat yang sesuai dan memenuhi persyaratan kepatuhan keamanan, tetapi Anda dapat mulai memahami data, atau lebih tepatnya informasi dan pengetahuan, sebagai aset perusahaan yang nyata dengan kemungkinan membawa bisnis ke tingkat efisiensi dan kesuksesan yang lebih tinggi.
Foto: web
